网络防火墙有什么用?杰里科论坛会议引发了辩论。
纽约——当涉及到今天的协作式电子商务时,网络防火墙后的生活有时就像在监狱里一样开放企业网络业务合作伙伴。
耶利哥城论坛该组织旨在说服企业高管和安全行业,他们需要设计出更少依赖传统防火墙等外围防御的安全选项微软和甲骨文和终端用户的大型企业.
无防火墙边缘的想法是一个有争议的想法,许多企业包括花旗集团(Citigroup)和JPMorganChase他出席听证会,听取有关防火墙的辩论,认为这是必要还是障碍。比尔·切斯威克,是美国电话电报公司(AT&T)作为防火墙的早期创新者,他在一个主题演讲中承认,有时可以“裸泳互联网”——在没有防火墙甚至反病毒防御的情况下安全地使用互联网。
“我们能在没有外围防御的情况下,以一种丰富、安全的方式使用互联网吗?”切斯维克向与会者摆姿势。他指出,“有人戳我的软件”的危险将会存在,而且“你正在放弃一层安全”。
但我们有可能一头扎进互联网没有周边防御.“我一直在裸泳,没有安装杀毒软件。这是让人耳目一新。裸泳对我有用吗?这对我来说很有效,”切斯维克说。然而,在他自己的经验中,围绕服务设置“沙箱防御”是关键。他指出,对于今天的企业来说,前述周边防御的限制在于“你无法阻止DDoS攻击,所以我们可能仍然需要一个有围墙的花园。”
切斯维克说,虚拟化软件领域是未来安全的最佳选择之一。他说:“虚拟化让我能够构建一个拥有非常健壮沙箱的机器。”
负责Windows改进设计的微软架构师卡尔•埃利森(Carl Ellison)承认,他所称的“隔离边界”已经不能提供足够的安全,因为如今许多公司为了开展业务,不得不在这些边界上打开网络漏洞。
“我们一直在对80港的所有东西进行隧道挖掘,因为那个端口在防火墙中是开放的,”埃利森指出,并补充说,“外围已经消失了。已经一去不复返了。这是人们的梦想,但它并没有消失。”
埃里森承认,他也喜欢“从Windows SP2到现在的Vista,在网络上裸泳”。我很有信心,因为主机防火墙。但我们还是要对电子邮件、网络和文件共享开放。”
埃里森说,微软今天的服务器可以“在活动周围画出隔离边界”,通过使用所谓的微软服务器和域隔离技术。
基于IPSec身份验证,微软的技术允许网络管理人员向计算机颁发证书,让它们根据安全策略和Active Directory组加入域。
“被允许进入隔离边界的机器不一定只属于我的公司,”他说。但当一位听众问,在这个设想的环境中,如何才能跟踪所有的IPSec连接时,埃里森不得不承认,目前还没有好的管理产品来做到这一点。
和切斯威克一样,埃利森说,发展杰里科论坛倡导的那种“去边界安全”的最好机会之一可能是虚拟化。微软,虽然比竞争对手慢VMware在推出虚拟化软件该公司表示,计划在2008年年中推出一款虚拟服务器产品。
埃里森说:“随着即将到来的技术,我们可以将机器分成多个可寻址的东西,这些东西可以连接不同的域。”“我们计划为这些域实施防火墙策略。”
杰里科论坛目前拥有约45家会员企业,其中多数为大型欧洲企业,但也有强生等美国企业加入其中。分析师有时会抨击杰里科论坛的"去边缘化"目标不切实际。
但总部位于英国的全球涂料和化学品制造商的首席信息安全官保罗·西蒙兹说这里杰里科论坛的董事会成员,本周试图澄清该组织不赞成结束网络防火墙。
“我们从未说过我们不想要任何防火墙,”西蒙兹说。“我们只是说,理解你为什么要使用防火墙及其局限性。如果防火墙减少了攻击面,那么最终可能会使用更多的防火墙。”
然而,Simmonds补充道,“在一个大型的公司网络中,它作为服务质量边界很好,但作为安全服务却不是。”
他在自己的演讲中指出,过去十年中通过互联网出现的企业对企业和企业对消费者商务,以及无线、外包和离岸外包,意味着“对大多数公司来说,去边界化是一个现实。”不管你是否意识到,它都在发生。如今,法律业务边界、实体边界和网络边界都不匹配。”
通过举例,西蒙兹指出,与沃尔玛,有必要在单独的ERP (enterprise-resource planning, ERP)系统之间建立直接联系。“他们会坚持让你在他们身上打个洞,这样我们就可以卖油漆,他们就可以下订单,”他说。这种情况越来越普遍,使得防火墙成为布满漏洞的边界。
Simmonds表示,Jericho论坛谴责IP语音(VoIP)“不适合商业应用”,因为它不安全,很少经济,而且“没有针对所有系统组件的补丁程序”。
杰里科论坛成员、渣打银行信息安全部门负责人John Meakin表示,其目标是“找到适合您业务的安全模式”,杰里科论坛只是试图找到“一个更平衡的组合”,而不仅仅是将防火墙视为必要条件。
在越来越多的供应商中,似乎意识到了Jericho论坛的建议——更不用说其成员的潜在购买力了——甲骨文派出了其身份管理的主要架构师,Nashant Kaushik,给与会者一个关于甲骨文未来产品方向的看法。
Kaushik描述了甲骨文的Fusion计划,该计划将于明年在其所有应用程序中开发软件,通过将用户和机器身份来源从底层应用程序中分离出来,提供“身份即服务”。
Kaushik说:“身份作为一种服务的概念使它在公共企业层具体化。”“作为一个协作元系统,下一步是,如果业务合作伙伴公开了员工的信息,那么其他人就可以接入该服务。”
“这与去边界化相吻合,”他补充说。
在会议上,被邀请发言的分析人士试图找到与杰里科论坛观点的共同点,承认存在争吵和分歧。
Gartner分析师Jeffrey Wheatman在Jericho论坛上就安全与隐私问题发言时承认:“这似乎与Gartner所宣扬的和Jericho所说的有些冲突。”
但他承认“老式的DMZ(非军事区)已经不再工作了,它不支持Web 2.0、动态内容和AJAX。”
惠特曼说,“有堡垒服务器和非军事区的外围已经不再起作用了。在一个人们的防火墙中有2000条规则的世界里,添加规则来应对业务问题是没有用的。”
Wheatman说,虽然前方的道路并不一定清晰,但虚拟化等技术最终可能会对安全产生影响。“杰里科论坛并没有说外围会消失。优势会改变,但不会消失。”
在他的演讲中,Burton集团的高级副总裁兼分析师Daniel Blum说:“我不认为去边界化是一种全有或全无的主张,企业安全架构必须改变,将控制从网络转移到端点、数据中心、信息存储库和应用程序。”雷竞技电脑网站他补充说:“单一防火墙模式被终结了。”
在回答组织是否应该停止购买防火墙的问题时,惠特曼回答说:“不要停止购买防火墙。组织机构都依赖防火墙来做一切事情。”
但是Simmonds回答说,“如果Jericho论坛有它自己的方式,就不再有边界防火墙,也不需要防火墙。”